Összefoglalva: Kétféle megoldás létezik: a műszakilag jó és a jogilag / auditilag jó.
Nem. Egyféle megoldás van: a SELinux és társai. Ez jogilag is jó és műszakilag is jó. A többi megoldás nem jó.
Azzal egyetértek, hogy műszakilag 2024-ben az SELinux az elfogadható minimum.
Akkor most megint mi a lófaszról is beszélünk?
Te nem érted meg, hogy az auditorok / jogászok le vannak maradva. Csúnyán. És sokszor nekik is meg kell felelni.
Lófaszt már, azok vannak elmaradva, akik szépen hátradőlnek, hogy noexec mount option van, pipa, minden oké, aztán ráfogják a jogászokra. Holott nincs, nem oké, semmi haszna nincs, a SELinux és társai ugyanúgy megfelelőek jogilag is, mert a szükséges teszteken átmennek, sőt, több teszt ellen védenek is.
Nem tudom elégszer leírni: a noexec mount option nem véd.